宁波银行内部审计手册.docx
- 文档编号:28394037
- 上传时间:2023-07-13
- 格式:DOCX
- 页数:38
- 大小:40.09KB
宁波银行内部审计手册.docx
《宁波银行内部审计手册.docx》由会员分享,可在线阅读,更多相关《宁波银行内部审计手册.docx(38页珍藏版)》请在冰豆网上搜索。
宁波银行内部审计手册
宁波银行内部审计手册
宁波银行审计部二0—0年十月
第一章审计方法论6
第一节审计类型6
一、常规审计6
(-)业务审计6
(2)信息系统审计6
二、特殊审计项目6
第二节审计宇宙与可审计单元7
一、审计宇宙7
二、可审计单元9
第三节风险评估9
一、风险评估前期准备9
(二)
风险评佔标准
二、
开展风险评佔
11
(-)
全面理解本行的业务
12
(二)
识别风险
13
(三)
评估风险
13
第四节制定审计计划16
—、制定审计计划的目标16
二、审计计划的制定16
(-)对重大流程进行分类16
(二)对重大流程内的主要流程进行排序16
(三)确定审计项目16
(四)确定审计工作时间17
三、审计计划的调整17
第二章审计操作流程18
第一节审计准备阶段18
一、确定审计项目18
二、确定项目主审人18
三、确定审计人员及分工
19
四、下发审计通知书19
五、收集审计相关资料19
六、审计前会议20
第二节审计实施阶段20
一、入场会谈20
二、实施审计20
(-)人员访谈20
(二)识别业务的重大风险和控制21
(三)穿行测试22
(四)控制测试23
(五)审计工作底稿编制25
三、审计发现、沟通与总结25
(-)审计发现汇总25
(二)审计发现沟通与总结26
第三节审计报告阶段27
(-)审计报告要求27
(二)报告发送28
二、审计报告审核、审批28
三、审计报告声明28
第四节项目总结阶段29
一、审计项目总结29
二、审计项目管理29
第五节后续跟踪阶段29
一、整改计划审核、确认29
二、整改进程监控30
三、后续审计30
第三章质量监控31
一、持续评估31
二、自我评估31
三、外部评估32
第四章审计档案管理33
三、制作档案封面和档案管理33第五章审计知识管理与共享34第六章信息系统审计35
一、企业层面信息科技控制35
二、
信息系统的一般控制
35
三、
信息系统的应用控制
37
四、
计算机辅助审计
39
第一章审计方法论
第一节审计类型
一、常规审计
常规审计是审计部实施最频繁的审讣工作类型,也是审讣部开展年度审讣工作的主要内容。
若干常规审计项H构成了年度审计计划,这些项目可被归纳为两类:
(―)业务审计
业务审计主要为1)对业务单元、业务条线、职能部门或模块以及业务功能实施审计,2)对某一个或一类特定的业务产品与服务实施审计,3)对业务部门或
产品服务提供支持的应用系统实施审计,该应用系统的审讣通常作为业务流程审讣中的一部分,并不单独立项实施审计工作。
业务审计的实施主要以流程为基础,运用一定审讣方法,执行相关审汁步
骤,从而得出有效的审计结论并向管理层就业务功能和运作的提升提出改进建议。
执行业务审计的具体程序参见“第二章审计操作流程”。
(二)信息系统审计
信息系统审计是指对信息系统及其业务应用的效能、效率、安全性进行监
测、评估和控制的过程,以确认预定的业务口标得以实现。
具体而言,信息系统审计就是以信息系统为审讣对象,通过现代的审il•理论和信息科技管理理论,从信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性等方面出发,对信息系统从开发、运行到维护的整个生命周期过程进行全面审查与评价,以确定其是否能够有效可黑地达到组织的战略口标,并为改善和健全组织对信息系统的控制提出建议的过程。
二、特殊审计项目
特殊审计项U是山于某一特殊事件或环境引发的要求审计部必须实施的审计项U,该审计项口未包含在基于风险评估结果而制定的年度审计计划内。
特殊审计项LI可应本行高级管理层或监管当局要求发起。
审讣部应向适当的管理层级汇报特殊审讣项LI的工作结果,并针对每个项LI的性质确定是否出具正式的审讣报告。
第二节审计宇宙与可审计单元
一、审计宇宙
审汁宇宙,乂称为审计工作范围框架,是一家银行内所有可以被审汁的领域的集合。
建立审计宇宙是根据以风险为导向的审计方法论开展内部审计工作的首要基础。
审计•部首次开展风险评估时,应与各业务/职能部门以会议或研讨的形式讨论并制定审计宇宙。
审讣委员会和高级管理层审阅并批准审讣部提交的经讨论达成一致的审计宇宙。
在确定银行的审汁宁宙时,需要考虑的因素包括:
(1)内部审计的职能定位;
(2)银行的经营范围和业务领域;
(3)银行的组织架构和业务流程体系;
(4)外部监管机构的要求等。
审计部结合本行的经营管理特点建立了适于本行的审汁宇宙,包括:
(1)主要业务条线,如公司银行业务条线,零售银行业务条线,个人银行业务条线,信用卡业务条线,资金业务条线,风险管理条线等;
(2)重大流程,如信贷服务,客户结算服务及风险管理等;重大流程乂被划分为若干主要流程,如重大流程“信贷服务”分为申请处理,担保管理,贷后管理等主要流程。
审计宇宙的具体构成详见下页图示。
宇波银行审汁宇宙示例
审计部定期(至少每年)审阅审计宇宙并根据本行实际经营状况进行更新,与各业务/职能部门确认后提交高级管理层和审计委员会审批确定。
审计部根据更新后的审计宇宙开展风险评估活动。
山于定期更新,最新版本的审计宇宙以【审计管理信息系统】中显示的框架图为准。
二、可审计•单元
可审计单元根据不同的定义方法,可分为以下类别:
(1)一项业务或管理职能;
(2)一类业务或管理活动;
(3)一个业务职能部门;
(4)—条业务条线;
(5)一家分/支行;及
(6)一个具体项或业务程序等。
审计部定期对可审计单元实施风险评佔,根据风险评佔结果制定项U审汁计
划,对可审计单元开展具体审计工作。
第三节风险评佔
一、风险评佔前期准备
(-)了解本行的战略目标与发展预期
审计部在实施风险评佔前,与董事会、审计委员会以及高级管理层以会议或其他形式进行充分沟通,理解本行整体的战略LI标与未来的业务发展预期,以及他们对内部审讣的预期,继而确定内部审讣工作重心,合理分配内部审讣资源。
(二)风险评估标准
审计部会同风险管理部、各业务条线人员(及涉及的分支机构),共同制定《风险评估标准》,提交高级管理层审阅并最终确定。
该标准从风险因素可能导致的不利影响的程度和风险因素发生的可能性两方面综合考虑,为评估本行面临的所有重大业务风险的高低程度提供统一的判定标准。
在考虑风险因素可能导致的不利影响的程度时,审计部应首先决定从哪些风险因素方面评估本行面临的主要风险(如财务风险,操作风险,声誉风险等),且这些风险因素须与内部审计工作重心一致。
通常可通过制定定性和定量的标准来确定风险高低程度,如下图所示:
风险评佔标准示例
影响程度:
【风险评佔标准】
可能性:
形成的风险程度:
审计部定期(至少每年)审阅和重新评佔《风险评佔标准》,检查其列示的具体标准是否符合当前业务发展状况和管理要求。
如需更新该标准,审讣部应于开展具体风险评估前提交高级管理层审阅并确定修改内容。
二、开展风险评估
实施风险评佔的U的是通过利用一种合理的方式对经选择的具体风险有效配置现有审计资源。
风险评估时,审计部识别、评估并记录本行流程和组织要素内的风险以及与风险相关的管理活动。
风险评估主要分为三个阶段:
(-)全面理解本行的业务
熟悉并理解本行业务经营的范围和程度是实施风险评佔的第一阶段。
于本阶段,审计部应评估本行整体的控制环境,确认对业务流程的理解,识别并与业务部门确认影响业务LI标完成的最重大的固有风险,了解信息科技控制环境。
1.评佔本行整体的控制环境
此处的控制环境主要指管理层的控制意识和态度。
从以下四方面评佔控制环境:
(1)管理层的控制意识和经营风格;
(2)银行诚信与道德标准;
(3)公司治理措施;
(4)组织架构和职责划分;及
(5)人力资源政策,人员素质和能力
审计部如在以上方面发现重大事项或差异,应及时向审计委员会和高级管理层报告。
2.确认对业务流程的理解
审计部与各业务条线部门以及职能部门沟通确认相关业务流程事项,并向其解释风险评估事项,包括以下方面:
(1)简要介绍审计•宇宙和风险评估过程;
(2)简要介绍风险评估时如何运用风险评佔标准;
(3)根据高级管理层设定的总体业务口标,将口标与审汁宇宙中列示的重大流程相匹配:
确认各业务部门的具体业务LI标,确认每个重大流程以及相关重要流程的关键成功因素;
(4)确认重大流程的结构,识别流程负责人,了解流程主要内容;
(5)识别对重大流程存在影响的利益相关人和其他任何外部因素,发现影响流程且使其不能达到业务U标的风险;
(6)识别用于衡量关键成功因素的关键业绩指标,与管理层确认其是否使用关键业绩指标以监控流程的有效性;
(7)识别任何存在的总体风险;及
(8)讨论相关的信息科技事项,如,信息科技如何运用于各重大流程。
3.识别并确认重大固有风险
审汁部与各流程负责人以电话沟通、会议或其他形式讨论并确定重大流程中存在的最重大的固有风险。
这些风险可归类为:
(1)与利益相关者和/或外部因素相关;
(2)直接存在于本行的控制活动中;及
(3)存在于本行的控制活动之外。
4.了解信息科技控制环境
审计部应了解应用于各重大流程的信息科技内容,在识别与评估其他银行风险时连同信息科技风险一同进行。
(二)识别风险
审汁部利用在“
(一)全面理解本行的业务”步骤中收集到的重大流程信息,为重大风险的识别工作提供充分指导,特别是识别那些存在于主要流程中且与内部审计工作重心相关的重要风险。
审计部针对主要流程具体开展以下工作:
1.与主要流程的负责人讨论,清楚了解这些流程的口的与忖标,相关的关键成功因素和关键业绩指标,以及高度概括的流程特点和流程中存在的重大风险;
2.在上述1中涉及的具体信息的基础上,识别那些与流程相关的重大风险,了解:
(1)为确保流程运作达到业务U标,必须正确实施的工作及可能阻止这些工作发生的情况;
(2)流程中可能出错的地方,且其可能阻止业务标的实现;
(3)信息科技和人力资源如何应用于流程且会产生哪些重大风险;
(4)设计•的流程是否符合市场发展和环境变迁,如利益相关者的影响或外部因素;及
(5)流程是否存在任何可能导致财务损失或其他损失的固有因素。
3.与管理层讨论并确定识别的每一个风险。
(3)评估风险
通过评估与汇总每一个主要流程存在的风险从而形成一份总体的流程评估结果:
1.按业务条线评佔各主要流程存在的风险:
审计部与各业务条线通过使用风险评佔标准中列示的评佔标准,决定本条线涉及的各主要流程存在风险的程度。
需注意的是风险评估标准仅作为衡量风险的一个标尺,审计人员在实际评估时仍需要依赖自身的专业判断。
因此审计人员必须记录得出评估结果的根本原因。
2.在不同业务条线中平衡同一个主要流程存在的风险:
审计部审阅同一个主要流程在不同业务条线中得出的风险评估结果,不同业务条线下的风险程度可能不同。
产生差异的根本原因主要为:
(1)本行的战略发展U标决定各业务条线的重要水平不同;及
(2)各业务条线的业务规模与流程操作的复杂程度不同。
虽然存在差异,但是审计人员应运用专业判断将这些差异合理化。
审计人员可以适当调整风险程度,但必须与各业务条线确认调整后的风险评估结果。
3.评估所有主要流程存在的总体风险:
在评佔完审计宇宙包含的所有主要流程在不同业务条线存在的风险后,即按各主要流程对不同业务条线下的风险进行综合总体评估。
审计人员将各业务条线的风险进行简单加总并运用专业判断得出一个总体的风险程度。
审计部应与负责流程的管理层就该主要流程的总体风险评佔结果达成一致。
如若存在任何重大的意见分歧,审计部应详细了解该流程内容和事实基础,以期与管理层就存在的风险程度达成一致。
如若仍不能达成共识,审讣部应及时与高级管理层和审计委员会进行沟通。
在评佔所有主要流程存在的总体风险时,需要考虑如下因素:
(1)对银行经营U标实现的影响程度;
(2)系统及流程的复杂程度;
(3)合规要求;
(4)内部及外部审计的审计发现;
(5)距离前次审计•检查的时间;
(6)舞弊发生的可能性;
(7)资产的流动性及变现能力;及
(8)对财务报表重大错报漏报的影响程度等。
审计部将上述风险评佔的总体结果反映在审计风险热力图中,风险程度的高低用红、黄、绿三种颜色加以区别,见下图示例。
宇波银行审计风险热力图示例
审计部定期(至少每年)开展风险评佔活动并相应更新审计风险热力图,供
董事会及高级管理层了解全行何处存在风险。
第四节制定审计汁划
一、制定审计计划的U标
审计部基于风险评佔结果开始编制本行的年度审计计•划。
在具体制定年度审计计划时,审计部可以着眼于以下方面:
(1)运用基于风险的方法论;
(2)参考以前年度的审计计划与审计结果;
(3)审计委员会与高级管理层特别关注的事宜;
(4)咨询业务条线负责人的意见;
(5)监管合规要求;及
(6)外部审计•师的建议或要求。
二、审计计划的制定
(-)对重大流程进行分类
审计部基于风险评佔结果,将重大流程大致分为两类:
一类重大流程覆盖全行大部分业务条线,另一类重大流程则只涉及某些业务条线。
如《宇波银行审计风险热力图示例》所示,如“获取新业务”、“战略与变革管理”及“风险管理”等重大流程属于第一类,而“服务客户”、“信贷服务”及“客户结算服务”等重大流程则属于第二类。
(二)对重大流程内的主要流程进行排序
每个重大流程包含若干主要流程,根据风险评佔结果,每个主要流程都已确定了总体风险程度。
审讣部在重大流程内将各主要流程按照风险高中低程度从高至低进行排列。
审计部须确定对不同风险的审计单元的审计频率:
高风险的主要流程【每年】实施审计,中风险的主要流程【每两年】实施一次审计,低风险的主要流程【每三年】实施一次审计。
审讣部根据当年的风险评佔结果并考虑以前年度审汁计划的覆盖范用,最终确定审计部于当年应对哪些主要流程实施审计。
(三)确定审计项目
针对第一类重大流程,审计部可进行全行层面的专题审计项目。
以“获取新业务”为例,审计部对该重大流程中涉及的需要当年执行审讣的主要流程开展审计工作,该审计工作将覆盖所有涉及的业务条线。
针对第二类重大流程,审计部可按业务条线开展常规业务审计项日。
以“公司银行条线”为例,审计部按照公司银行条线涉及的重大流程“服务客户”、“信贷服务”、“客户结算服务”、“维护交易渠道”以及“提供支持服务”中覆盖的需要当年执行审计的主要流程开展审计工作。
若不同审计项目的范围同时覆盖了一个主要流程,审计部应遵循效率和效果的原则适当调整审讣项LI范围。
(四)确定审汁工作时间
审计部根据以往年度的审计•经验以及被审计业务的复杂程度等,佔算不同的主要流程需要的审计时间,进行相加后匡算出不同审讣项LI需要的审讣时间。
各项目工作时间的总和不得超过预计的当年可实施审计工作的时间总量。
三、审计计划的调整
审讣部依据全行的工作安排,合理安排审计项LI的先后顺序和持续时间,继而制定出当年的年度审计计划。
审计委员会批准该审计计划后,审计部方可按照计划实施具体工作。
对于应监管当局或本行高级管理层的要求而实施的特殊审计项U,审计部应及时将这些审讣项LI纳入年度审讣计划,必要时可适当调整各审计项LI的顺序和持续时间。
年度审计计划的重大调整也应及时报告审讣委员会。
第二章审计操作流程
审汁过程分为审计准备、审汁实施、审计报告、项目总结和后续跟踪五个阶段,非现场审计项目可视具体情况简化流程。
第一节审计准备阶段
—、确定审计项日
审计部根据下列悄况确定审讣项tl:
(1)经批准的年度审计工作计划;
(2)分管行领导和上级审计部门交办的项LI;
(3)其他部门的委托;及
(4)未列入年度计划的重大风险示警事项。
审计项口立项应报审计•部负责人审核,并按《宇波银行内部审计•管理办法》报有权审批人批准后实施。
二、确定项目主审人
审计部负责人指定审计组长,由审计•组长根据项U1W况和主审人所需资格及要求指定项LI主审人。
项U主审人负责组织制定审计项U总体审计方案,组织协调整个审计项目的实施,指导各审计工作小组工作,组织撰写审计项LI报告,考评各审计工作小组的工作质量及其组长的工作。
审计方案山项目主审人编制,经审计•部负责人审核,报有权审批人批准。
在实施审计过程中,审讣组在获得有权审批人书面同意后,可以根据具体情况对审计方案作出调整。
审汁方案的主要内容包括但不限于:
(1)制订审计方案的依据;
(2)审计目标;及
(3)审计的时间、范围、内容、重点、方法和实施步骤等。
审计范围为评估运营和信息系统控制的充分性和效率,包括财务和运营信息的可靠性和准确性,合规情况,确保资产安全,运营的有效性和效率等。
三、确定审计人员及分工
山审汁组长和项LI主审人选择能够胜任相关审汁工作的审计•人员组成审计组。
审计组可根据工作需要分为若干工作小组,根据审计人员的经验和能力,确定分工,落实责任。
四、下发审计通知书
审计部应提前向被审计单位发出《审计通知书》,内容包括:
(1)被审计单位名称;
(2)审计期间、审计事项、审计开始时间和预讣审计工作日;
(3)审计组组长、主审人和其他成员名单;
(4)对被审计单位配合审计工作的要求;及
(5)签发日期。
特殊悄况下,可先以电话、传真等形式通知被审计单位,审计组进入审计现场后再向被审计单位递交《审讣通知书》。
根据审计工作需要,被审计单位应当或者需要其先行自查时,《审计通知书》中应予以明确。
《审计通知书》统一编制文号并加盖审计部公章。
五、收集审计相关资料
审计组可收集下列与审计项U有关的背景资料:
(1)被审计单位年度计划的相关信息;
(2)与相关主要管理人员和员工讨论审计所需的文档,包括运营、财务、系统和法律合规等方面;
(3)获取工作汁划及其他相关文档(包括产品、服务和系统的相关信息):
(4)总结报告、以前年度的审计报告和外部审计、检查报告;
(5)内外部规章制度;及
(6)其他文件和资料。
审计组长或主审人与审计组成员、相关管理人员沟通,广泛收集、认真审核和深入分析被审计单位的背景资料,对其管理状况作出初步判断,为落实和细化审计方案提供依据。
六、审计前会议
在正式实施审计前,可山审计组长或项H主审人组织对参加审计项H的人员进行必要的培训,统一审计标准和要求,确认或调整分工,落实和细化审计方案。
第二节审计实施阶段
经过前期充分的准备,审计•组入驻被审计单位开始现场审计工作。
于本阶段,审讣人员将完成现场测试工作,深入了解被审计单位的风险控制状况,发现其可能存在的管理不足和低效运营,与其沟通发现问题并初步提出可操作的改进建议。
本阶段主要分为三个环节:
入场会谈,实施审计,以及审计发现、沟通与总结。
本节内容仅适用于指导审汁项L1的现场实施。
—、入场会谈
审计组于《审计通知书》确定的日期进入被审计单位。
在正式开展具体现场审计工作前,与被审计单位的主要负责人及其相关部门负责人进行会谈。
会谈中,主审人说明此次审计的LI的、内容与范围,审计丄作安排以及对被审讣单位配合审计工作的要求,同时向被审计单位的主要负责人及其相关部门负责人了解被审计单位的整体运作情况,经营管理思想,经营中存在的主要问题和风险等。
审计•人员及时记录会议内容,整理形成书面会议纪要。
二、实施审计
以流程为基础实施审汁时,通常遵循以下四个步骤:
(-)人员访谈
审计人员与流程负责人确定访谈时间,编制访谈提纲并(至少)于访谈前一日发送流程负责人,确保被访谈人了解会谈的主题与内容等。
访谈时,审计人员根据访谈提纲展开提问,详细了解流程内容,包括但不限于:
(1)流程包括的环节以及环节涉及的业务/职能部门和具体负责人员;
(2)构成各流程环节的具体业务活动及(或)发生的变动;
(3)业务活动中潜在的风险;
(4)业务活动中目前设置的控制活动状况,如控制执行人、控制频率等;及
(5)业务活动运用的信息系统和工具。
审计人员根据访谈结果决定是否与流程中涉及的其他相关人员进行深入访谈,以进一步了解流程内容。
如有需要,请参照前述程序开展访谈。
审计•人员及时整理访谈内容,将访谈中了解到的重要流程内容记录在审计工作底稿中。
(2)识别业务的重大风险和控制
审计人员依据访谈获取的流程内容,整理并识别流程从起点至终点所涉及的风险点及对应的控制,详细记录和汇总这些风险点与控制点以及各控制点的属性及详细情况,并可以将流程的风险和控制信息记录在该流程的“风险控制矩阵”中。
编制风险控制矩阵时应遵循以下步骤:
(1)梳理访谈内容,列示流程包含的主要环节。
这些环节按照流程的操作过程有序排列,构成一个完整的流程;
(2)在各主要环节中,基于本行的风险偏好、监管合规的要求以及审计人员的专业判断等,识别并列示各主要环节中存在的风险;
(3)针对已识别的风险,从流程内容中查找、识别并列示可能存在的相应控制,并详细填写这些控制的属性及其他详细信息,如控制执行部门/岗位、控制类型、控制频率、控制依赖的信息系统等;
(4)在完成上述
(1)~(3)的工作后,审计人员须与流程负责人确认识别的流程环节、风险点、相应控制点及控制属性等信息是否准确,并相应进行修改;
(5)对每个控制实施穿行测试后,将测试结果记录在风险控制矩阵中,并根据测试时掌握的实际情况相应更新之前识别的风险点与控制点;及
(6)对穿行测试中被验证设计有效的控制实施控制测试后,将测试结果记录在风险控制矩阵中。
风险控制矩阵提供了一个严谨的架构,确保所有风险点与控制点都得到充分记录,逐一列示现有控制及相关属性信息。
编写风险控制矩阵的时间跨度较长,通常在完成控制测试(参见“(四)控制测试”)后才能最终确定风险控制矩阵。
风险控制矩阵示例
风险控制矩阵在项U审计的控制活动测试工作中起到控制、引导及汇总的作用。
审计部根据每年实施的审讣项LI内容,及时准确地更新、维护风险控制矩阵。
(3)穿行测试
穿行测试的U的是为了验证控制设计的有效性,同时还可以加深审计人员对控制的理解。
针对风险控制矩阵中识别的所有控制点,选取1个样本,验证从起点到终点的整个流程中包括的控制活动。
执行穿行测试的方法包括:
询问、观察、检查、重新执行。
(1)询问业务/职能部门的适当员工,有助于获取与需测试控制设计及运行悄况相关的信息。
然而,仅仅通过询问不能为控制点设计的有效性提供充分的证据,需要和其他测试手段结合使用才能发挥作用;
(2)观察业务/职能部门的经营活动和控制活动,增加对涉及的各业务/职能部门人员如何进行经营活动及实施控制的了解,并印证对相应业务/职能部门相关人员的询问结果。
观察主要针对不留下书面记录的控制(如职责分离);
(3)检查业务/职能部门的业务流程操作指引、控制手册、与其他机构或个人签订的合同或协议等,了解各业务/职能部门控制的具体执行情况。
检查主要针对运行情况留有书面证据的控制;
(4)以人工方式或使用计算机辅助技术,重新独立执行作为业务/职能部门控制组成部
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 宁波 银行 内部 审计 手册